Como configurar uma rede gerida para hubs Microsoft Foundry (clássico)

Aplica-se apenas a:Portal Foundry (clássico). Este artigo não está disponível para o novo portal da Foundry. Saiba mais sobre o novo portal.

Nota

Os links neste artigo podem abrir conteúdo na nova documentação do Microsoft Foundry em vez da documentação do Foundry (clássico) que está a ver agora.

Importante

Este artigo fornece suporte legado para projetos baseados em hubs. Não funciona para projetos da Foundry. Veja : Como sei que tipo de projeto tenho?

Nota de compatibilidade SDK: Exemplos de código requerem uma versão específica do Microsoft Foundry SDK. Se encontrar problemas de compatibilidade, considere migrar de um projeto baseado em hub para um projeto Foundry.

O isolamento de rede para um projeto baseado em hub tem duas partes: aceder a um hub Microsoft Foundry e isolar os recursos computacionais no seu hub e projeto (como instâncias de computação, serverless e endpoints online geridos). Este artigo aborda esta última. O diagrama destaca-o. Use o isolamento de rede integrado no hub para proteger os seus recursos informáticos.

Configure as seguintes definições de isolamento de rede:

Escolha um modo de isolamento de rede: permitir a saída da internet ou permitir apenas a saída aprovada.
Se usar a integração do Visual Studio Code no modo permitir apenas saída aprovada, crie regras de saída FQDN conforme descrito na secção usar o Visual Studio Code.
Se usar modelos Hugging Face em modo de permitir apenas saídas aprovadas, crie regras FQDN outbound conforme descrito na secção usar os modelos Hugging Face.
Se usar um dos modelos open source em modo permitir apenas saída aprovada, crie regras FQDN para saída conforme descrito na secção Modelos vendidos diretamente pela Azure.

Pré-requisitos

Antes de começar, certifique-se de que cumpre estes pré-requisitos:

Uma subscrição do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Registe o fornecedor de recursos Microsoft.Network para a tua subscrição Azure. O hub utiliza este fornecedor para criar endpoints privados para a rede virtual gerida.

Para informações sobre o registo de fornecedores de recursos, consulte Resolver erros para registo de fornecedores de recursos.
Utilize uma identidade Azure com as seguintes ações de controlo de acesso baseado em funções (Azure RBAC) para criar endpoints privados para a rede virtual gerida.
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Dica

O Azure AI Enterprise Network Connection Approver função incorporada inclui estas permissões. Atribui esta função à identidade gerida do hub para aprovar ligações privadas aos endpoints.

Uma subscrição do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
O fornecedor de recursos Microsoft.Network deve estar registado para a sua subscrição do Azure. O hub utiliza este fornecedor de recursos ao criar endpoints privados para a rede virtual gerida.

Para informações sobre o registo de fornecedores de recursos, consulte Resolver erros para registo de fornecedores de recursos.
Utilize uma identidade do Azure com as seguintes ações de Azure Role-Based Access Control (Azure RBAC) para criar endpoints privados para a rede virtual gerida:
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/write
Dica

O Azure AI Enterprise Network Connection Approver função incorporada inclui estas permissões. Atribui esta função à identidade gerida do hub para aprovar ligações privadas aos endpoints.
Instala o CLI do Azure e a extensão ml para o CLI do Azure. Para mais informações, consulte Instalar, configurar e usar a CLI (v2).
Um shell compatível com Bash para executar os exemplos de CLI mencionados neste artigo. Por exemplo, use um sistema Linux ou Subsistema Windows para Linux.
Os CLI do Azure exemplos neste artigo usam ws para o nome do hub e rg para o nome do grupo de recursos. Muda esses valores conforme necessário quando executares os comandos na tua subscrição do Azure.

Uma subscrição do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar. Experimenta a versão gratuita ou paga.
O fornecedor de recursos Microsoft.Network deve estar registado para a sua subscrição do Azure. O hub utiliza este fornecedor de recursos ao criar endpoints privados para a rede virtual gerida.

Para informações sobre o registo de fornecedores de recursos, consulte Resolver erros para registo de fornecedores de recursos.
A identidade Azure que utiliza ao implementar uma rede gerida requer as seguintes ações de controlo de acesso baseado em funções do Azure (Azure RBAC) para criar endpoints privados:
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/write
Dica

O Azure AI Enterprise Network Connection Approver função incorporada inclui estas permissões. Atribui esta função à identidade gerida do hub para aprovar ligações privadas aos endpoints.
SDK Azure Machine Learning Python v2 Para mais informações sobre o SDK, veja Install the Python SDK v2 para Azure Machine Learning.

Os exemplos neste artigo assumem que o seu código começa com o seguinte código Python. Importa as classes necessárias para criar um hub com uma rede virtual gerida, define variáveis para a tua subscrição Azure e grupo de recursos, e cria o ml_client. No exemplo seguinte, substitua o texto <SUBSCRIPTION_ID> provisório e <RESOURCE_GROUP> pelos seus próprios valores:

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    Hub,
    ManagedNetwork,
    IsolationMode,
    ServiceTagDestination,
    PrivateEndpointDestination,
    FqdnDestination
)
from azure.identity import DefaultAzureCredential

# Replace with the values for your Azure subscription and resource group.
subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"

# get a handle to the subscription
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)

Configurar uma rede virtual gerida para permitir saídas para a internet

Dica

A Foundry adia a criação da rede virtual gerida até que crie um recurso de computação ou comece a provisionar manualmente. Com a criação automática, pode demorar cerca de 30 minutos a criar o primeiro recurso de computação porque também fornece a rede.

Crie um novo hub:
1. Inicie sessão no portal Azure, e selecione Foundry no menu Criar um recurso.
2. Selecione + Nova Azure AI.
3. Introduza a informação necessária no separador Básicos .
4. Na aba Rede, selecione Privado com Saída para a Internet.
5. Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo utilizador no separador Rede . Na barra lateral de regras de saída , introduza a seguinte informação:
  - Nome da regra: Um nome para a regra. O nome deve ser único para este centro.
  - Tipo de destino: O Endpoint Privado é a única opção quando o isolamento da rede é Privado com Internet Outbound. Uma rede virtual gerida por hub não suporta a criação de endpoints privados para todos os tipos de recursos do Azure. Para uma lista de recursos suportados, consulte a secção de endpoints privados .
  - Subscription: A subscrição que contém o recurso Azure para o qual pretende adicionar um endpoint privado.
  - Resource group: O grupo de recursos que contém o recurso Azure para o qual pretende adicionar um endpoint privado.
  - Tipo de recurso: O tipo do recurso Azure.
  - Nome do recurso: O nome do recurso Azure.
  - Sub Resource: O subrecurso do tipo de recurso Azure.
  Selecione Guardar. Para adicionar mais regras, selecione Adicionar regras de saída definidas pelo utilizador.
6. Continue a criar o hub.
Atualize um hub existente:
1. Inicie sessão no portal Azure, e selecione o hub para ativar o isolamento da rede virtual gerida.
2. Selecione Rede>Privada com Internet de Saída.
  - Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo utilizador no separador Rede . Na barra lateral das regras de saída , forneça a mesma informação usada ao criar um hub na secção 'Criar um novo hub'.
  - Para eliminar uma regra de saída, selecione eliminar para a regra.
3. Selecione Guardar no topo da página para aplicar as alterações à rede virtual gerida.

Para configurar uma rede virtual gerida que permita a saída pela internet, utilize o --managed-network allow_internet_outbound parâmetro ou um ficheiro de configuração YAML com as seguintes entradas:

managed_network:
  isolation_mode: allow_internet_outbound

Defina regras de saída para outros serviços Azure dos quais o hub depende. Estas regras definem endpoints privados que permitem a um recurso Azure comunicar de forma segura com a rede virtual gerida. A regra seguinte mostra como adicionar um endpoint privado a uma conta do Armazenamento de Blobs do Azure. No exemplo seguinte, substitua o texto <SUBSCRIPTION_ID>provisório , <RESOURCE_GROUP>, e <STORAGE_ACCOUNT_NAME> pelos seus próprios valores.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Configure uma rede virtual gerida usando os az ml workspace create comandos ou az ml workspace update :

Crie um novo hub:

O exemplo seguinte cria um novo hub. O --managed-network allow_internet_outbound parâmetro configura uma rede virtual gerida para o hub:
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Para criar um hub usando um ficheiro YAML, use o --file parâmetro e especifique o ficheiro YAML que contém as definições de configuração:
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
O seguinte exemplo de YAML define um hub com uma rede virtual gerida:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_internet_outbound
```
Atualize um hub existente:

Aviso

Antes de atualizar um espaço de trabalho existente para usar uma rede virtual gerida, deve eliminar todos os recursos computacionais do espaço de trabalho. Isto inclui instância de computação, cluster de computação e endpoints online geridos.

O exemplo seguinte atualiza um hub existente. O --managed-network allow_internet_outbound parâmetro configura uma rede virtual gerida para o hub:
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Para atualizar um hub existente usando um ficheiro YAML, use o --file parâmetro e especifique o ficheiro YAML que contém as definições de configuração:
```
az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
```
O exemplo seguinte de YAML define uma rede virtual gerida para o hub. Também mostra como adicionar uma ligação de ponto final privado a um recurso que o hub utiliza. Neste exemplo, adiciona um endpoint privado para uma conta do Armazenamento de Blobs do Azure. No exemplo seguinte, substitua o texto <SUBSCRIPTION_ID>provisório , <RESOURCE_GROUP>, e <STORAGE_ACCOUNT_NAME> pelos seus próprios valores:
```
name: myhub
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Referências

Para configurar uma rede virtual gerida que permita a saída para a internet, utilize a classe ManagedNetwork com IsolationMode.ALLOW_INTERNET_OUTBOUND. Depois usa o ManagedNetwork objeto para criar um novo hub ou atualizar um existente. Para definir regras outbound para Azure serviços em que o hub depende, use a classe PrivateEndpointDestination para definir um novo endpoint privado para o serviço.

Crie um novo hub:

O exemplo seguinte cria um novo hub chamado myhub, com uma regra de saída chamada myrule que adiciona um endpoint privado para uma conta Armazenamento de Blobs do Azure. No exemplo seguinte, substitua o texto <SUBSCRIPTION_ID>provisório , <RESOURCE_GROUP>, e <STORAGE_ACCOUNT_NAME> pelos seus próprios valores:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Example private endpoint to Azure Blob Storage
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Referências

Atualize um hub existente:

O exemplo seguinte demonstra como criar uma rede virtual gerida para um hub existente chamado myhub:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get(name="myhub")

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Update the hub
ml_client.workspaces.begin_update(ws)

Referências

Configure uma rede virtual gerida para permitir apenas saída aprovada

Dica

O Azure configura automaticamente o VNet gerido quando crias um recurso de computação. Se permitir a criação automática, o primeiro recurso de computação pode demorar cerca de 30 minutos a ser criado porque a rede também precisa de ser configurada. Se configurares as regras de saída FQDN, a primeira regra FQDN acrescenta cerca de 10 minutos ao tempo de configuração.

Crie um novo hub:
1. Inicie sessão no portal Azure, e escolha Foundry no menu Criar um recurso.
2. Selecione + Novo Azure AI.
3. Forneça a informação necessária na aba Básicos.
4. Na aba Rede, selecione Privado com Saída Aprovada.
5. Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo utilizador no separador Rede . Na barra lateral de regras de saída , forneça a seguinte informação:
  - Nome da regra: Um nome para a regra. O nome deve ser único para este centro.
  - Tipo de destino: Ponto Terminal Privado, Etiqueta de Serviço ou FQDN. Service Tag e FQDN só estão disponíveis quando o isolamento da rede é privado com saída aprovada.
  Se o tipo de destino for Private Endpoint, introduza a seguinte informação:
  - Subscription: A subscrição que contém o recurso Azure para o qual pretende adicionar um endpoint privado.
  - Resource group: O grupo de recursos que contém o recurso Azure para o qual pretende adicionar um endpoint privado.
  - Tipo de recurso: O tipo do recurso Azure.
  - Nome do recurso: O nome do recurso Azure.
- Sub Resource: O subrecurso do tipo de recurso Azure.
Dica

O VNet gerido do hub não suporta endpoints privados para todos os tipos de recursos do Azure. Para uma lista de recursos suportados, consulte a secção de endpoints privados .

Se o tipo de destino for Etiqueta de Serviço, introduza a seguinte informação:
- Etiqueta de serviço: A etiqueta de serviço para adicionar às regras de saída aprovadas.
- Protocolo: O protocolo para permitir a etiqueta de serviço.
- Intervalos de porta: Os intervalos de porta a permitir para a etiqueta de serviço.
Se o tipo de destino for FQDN, introduza a seguinte informação:
- Destino FQDN: O nome de domínio totalmente qualificado para adicionar às regras de saída aprovadas.
  
  Selecione Guardar para guardar a regra. Para adicionar mais regras, selecione novamente Adicionar regras de saída definidas pelo utilizador .
1. Continua a criar o hub como de costume.
Atualize um hub existente:
1. Inicia sessão no portal Azure e seleciona o hub para o qual queres ativar o isolamento de rede virtual gerida.
2. Selecione Configuração de Rede>Privado com Saída Aprovada.
  - Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo utilizador no separador Rede . Na barra lateral de regras de saída , introduza a mesma informação que ao criar um hub na secção anterior 'Criar um novo hub'.
  - Para eliminar uma regra de saída, selecione eliminar para a regra.
3. Selecione Guardar no topo da página para guardar as alterações na rede virtual gerida.

Para configurar uma rede virtual gerida que permita apenas comunicação de saída aprovada, utilize o --managed-network allow_only_approved_outbound parâmetro ou um ficheiro de configuração YAML que contenha as seguintes entradas:

managed_network:
  isolation_mode: allow_only_approved_outbound

Também pode definir regras de saída para comunicações de saída aprovadas. Crie uma regra de saída do tipo service_tag, fqdn, ou private_endpoint. O exemplo seguinte adiciona um endpoint privado a um recurso Azure Blob, uma etiqueta de serviço para Azure Data Factory e um FQDN para pypi.org. No exemplo seguinte, substitua o texto <SUBSCRIPTION_ID>provisório , <RESOURCE_GROUP>, e <STORAGE_ACCOUNT_NAME> pelos seus valores.

Importante

Adicionar uma regra de saída para uma etiqueta de serviço ou FQDN é válida apenas quando o VNet gerido está configurado para allow_only_approved_outbound.
Se adicionares regras de saída, a Microsoft não pode garantir proteção contra a exfiltração de dados.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Pode configurar uma rede virtual gerida usando os az ml workspace create comandos ou:az ml workspace update

Crie um novo hub:

O exemplo seguinte utiliza o --managed-network allow_only_approved_outbound parâmetro para configurar a rede virtual gerida:

az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound

O ficheiro YAML seguinte define um hub com uma rede virtual gerida:

name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_only_approved_outbound

Para criar um hub usando o ficheiro YAML, use o --file parâmetro:

az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub

Atualize um hub existente

Aviso

Antes de atualizar um espaço de trabalho existente para usar uma rede virtual gerida, deve eliminar todos os recursos computacionais do espaço de trabalho. Isto inclui instância de computação, cluster de computação e endpoints online geridos.

O exemplo seguinte utiliza o --managed-network allow_only_approved_outbound parâmetro para configurar a rede virtual gerida para um hub existente:

az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound

O ficheiro YAML seguinte define uma rede virtual gerida para o hub e mostra como adicionar regras de saída aprovadas. Neste exemplo, são adicionadas regras de saída para uma etiqueta de serviço, uma FQDN e um endpoint privado:

name: myhub_dep
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Referências

Para configurar uma rede virtual gerida que permita apenas comunicação de saída aprovada, use a ManagedNetwork classe para definir uma rede com IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND. Use o ManagedNetwork objeto para criar um novo hub ou atualizar um existente. Para definir regras de saída, use as seguintes classes:

Destino	Classe
Serviço do Azure de que o hub depende	`PrivateEndpointDestination`
Azure etiqueta de serviço	`ServiceTagDestination`
Nome de domínio totalmente qualificado (FQDN)	`FqdnDestination`

Crie um novo hub:

O exemplo seguinte cria um novo hub chamado myhub, com várias regras de saída:

myrule - Adiciona um endpoint privado para uma Azure Blob store.
datafactory - Adiciona uma regra de etiqueta de serviço para comunicar com Azure Data Factory.

Importante

Adicione uma regra de saída para uma tag de serviço ou FQDN apenas quando configurar a rede virtual gerida (VNet) para IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
Se adicionares regras de saída, a Microsoft não pode garantir proteção contra a exfiltração de dados.

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Referências

Atualize um hub existente:

O exemplo seguinte mostra como configurar uma rede virtual gerida para um hub existente chamado myhub. Também adiciona várias regras de saída:

myrule - Adiciona um endpoint privado para uma Azure Blob store.
datafactory - Adiciona uma regra de etiqueta de serviço para comunicar com Azure Data Factory.

Dica

Pode apenas adicionar uma regra de saída para uma tag de serviço ou FQDN quando a VNet gerida for configurada para usar IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Update the hub
ml_client.workspaces.begin_update(ws)

Referências

Provisionar manualmente um VNet gerido

A rede virtual gerida é automaticamente provisionada quando cria uma instância de computação. Quando depende do provisionamento automático, pode demorar cerca de 30 minutos a criar a primeira instância de computação, pois também fornece a rede. Se configurares as regras de saída FQDN (disponíveis apenas com o modo de permitir apenas aprovado), a primeira regra FQDN adiciona cerca de 10 minutos ao tempo de provisionamento. Se tiver um grande conjunto de regras de saída para ser provisionado na rede gerida, pode demorar mais tempo para completar. O aumento do tempo de provisionamento pode fazer com que a criação da primeira instância de computação expire.

Para reduzir o tempo de espera e evitar tempos de espera, configure manualmente a rede gerida. Espere que o provisionamento termine antes de criar uma instância de computação.

Alternativamente, use o provision_network_now flag para configurar a rede gerida durante a criação do hub.

Nota

Para implementar um modelo para computação gerida, deve provisionar manualmente a rede gerida ou criar primeiro uma instância de computação. Criar uma instância de computação provisiona automaticamente a rede gerida.

Durante a criação do espaço de trabalho, selecione Provisionar rede gerida proativamente na criação para configurar a rede gerida. A faturação começa para recursos de rede, como endpoints privados, depois de a rede virtual estar configurada. Esta opção está disponível apenas durante a criação do espaço de trabalho.

O exemplo seguinte mostra como provisionar uma rede virtual gerida durante a criação do hub.

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

O exemplo seguinte mostra como provisionar uma rede virtual gerida.

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

Para verificar se o provisionamento está completo, execute o seguinte comando:

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

Referências

Use o SDK para provisionar uma rede virtual gerida e depois verifique o seu estado.

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

Referências

Gerir regras de saída

Inicia sessão no portal Azure e seleciona o hub para o qual queres ativar o isolamento de rede virtual gerida.
Selecione Redes. A secção de acesso Outbound da Foundry permite-te gerir as regras de outbound.

Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo utilizador no separador Networking. Na barra lateral Azure regras de saída da IA, introduza os valores necessários.
Para ativar ou desativar uma regra, use a opção de alternância na coluna Ativa .
Para eliminar uma regra de saída, selecione eliminar para a regra.

Nos comandos seguintes, substitua o texto <workspace-name>provisório , <resource-group>, e <rule-name> pelos seus valores. Para listar as regras de saída de rede virtual gerida para um hub, execute:

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

Para ver os detalhes de uma regra de saída de rede virtual gerida, execute:

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Para remover uma regra de saída da rede virtual gerida, execute:

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Referências

AZ ML Workspace Outbound-Rule List
az ml workspace outbound-rule show - mostra a regra de saída do espaço de trabalho.
az ml workspace outbound-rule remove

O exemplo seguinte mostra como gerir regras de saída para um hub chamado myhub. No exemplo, substitui o texto <some-rule-name> provisório pelo nome da tua regra:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Referências

MLClient

Arquitetura de isolamento de rede e modos de isolamento

Quando ativas o isolamento de rede virtual gerida, crias uma rede virtual gerida para o hub. Os recursos de computação gerida que crias para o hub usam automaticamente esta rede virtual gerida. A rede virtual gerida pode usar endpoints privados para recursos Azure que o seu hub utiliza, como Armazenamento do Azure, Azure Key Vault e Azure Container Registry.

Escolha um de três modos de saída para a rede virtual gerida:

Modo de saída	Descrição	Cenários
Permitir saída para a internet	Permitir todo o tráfego de saída da internet proveniente da rede virtual gerida.	Queres acesso irrestrito a recursos de aprendizagem automática na internet, como pacotes Python ou modelos pré-treinados. ¹
Permitir apenas saídas aprovadas	Use tags de serviço para permitir o tráfego de saída.	* Queres minimizar o risco de exfiltração de dados, mas precisas de preparar todos os artefactos de aprendizagem automática necessários no teu ambiente privado. * Quer configurar o acesso de saída a uma lista aprovada de serviços, etiquetas de serviço ou nomes de domínio totalmente qualificados (FQDNs).
Deficiente	O tráfego de entrada e saída não é restrito.	Deseja permitir o tráfego público de entrada e saída no hub.

¹ Pode usar regras de saída com o modo de permitir apenas saídas aprovadas para obter o mesmo resultado que ao permitir saídas para a internet. As diferenças são:

Use sempre endpoints privados para aceder aos recursos do Azure.
Tens de adicionar regras para cada ligação de saída que precisas de permitir.
Adicionar regras de saída totalmente qualificadas para nomes de domínio (FQDN) aumenta os seus custos porque este tipo de regra usa o Azure Firewall. Se usar regras de saída FQDN, as cobranças pelo Azure Firewall estão incluídas na sua faturação. Para mais informações, consulte Preços.
As regras padrão para permitir apenas saída aprovada foram concebidas para minimizar o risco de exfiltração de dados. Quaisquer regras de saída que adicione pode aumentar o seu risco.

A rede virtual gerida está pré-configurada com as regras padrão obrigatórias. O hub também configura ligações de terminal privadas ao seu hub, à conta de armazenamento predefinida do hub, ao registo de contentores e ao cofre de chaves quando esses recursos estão definidos como privados ou quando o modo de isolamento permite apenas saídas aprovadas. Depois de escolheres um modo de isolamento, adiciona quaisquer outras regras de saída que precises.

O diagrama seguinte mostra uma rede virtual gerida configurada para permitir a saída da internet:

O diagrama seguinte mostra uma rede virtual gerida configurada para permitir apenas saída aprovada:

Nota

Nesta configuração, o armazenamento, o cofre de chaves e o registo de contentores que o hub usa são definidos como privados. Como são privados, o hub usa endpoints privados para os alcançar.

Nota

Para aceder a uma conta de armazenamento privada a partir de um hub público da Foundry, utilize o Foundry dentro da rede virtual da sua conta de armazenamento. Aceder ao Foundry a partir da rede virtual garante que pode realizar ações como carregar ficheiros para a conta de armazenamento privado. A conta de armazenamento privado é independente das definições de rede do seu hub Foundry. Consulte Configure firewalls e redes virtuais do Armazenamento do Azure.

Lista de regras obrigatórias

Dica

Estas regras são automaticamente adicionadas à rede virtual gerida (VNet).

Endpoints privados:

Quando defines o modo de isolamento da rede virtual gerida para Allow internet outbound, o Foundry cria automaticamente as regras de saída de endpoints privados obrigatórias a partir da rede virtual gerida para o hub e recursos associados com acesso à rede pública desativado (Azure Key Vault, conta de armazenamento, Azure Container Registry e hub).
Quando defines o modo de isolamento da rede virtual gerida para Allow only approved outbound, o Foundry cria automaticamente as regras de saída de endpoint privado obrigatórias a partir da rede virtual gerida para o hub e recursos associados, independentemente da definição de acesso público à rede para esses recursos (Azure Key Vault, conta de armazenamento, Azure Container Registry e hub).

A Foundry requer um conjunto de etiquetas de serviço para redes privadas. Não substitua as etiquetas de serviço necessárias. A tabela seguinte descreve cada etiqueta de serviço necessária e o seu propósito dentro da Foundry.

Regra da etiqueta de serviço	Entrada ou saída	Finalidade
`AzureMachineLearning`	Entrada	Criar, atualizar e eliminar instâncias e clusters de computação do Foundry.
`AzureMachineLearning`	Saída	Usar os serviços de Azure Machine Learning. Python IntelliSense em notebooks usa a porta 18881. Criar, atualizar e eliminar uma instância de computação do Azure Machine Learning utiliza a porta 5831.
`AzureActiveDirectory`	Saída	Autenticação usando Microsoft Entra ID.
`BatchNodeManagement.region`	Saída	Comunicação com o backend do Azure Batch para instâncias e clusters de cálculo do Foundry.
`AzureResourceManager`	Saída	Crie recursos Azure usando Foundry, CLI do Azure e o Microsoft Foundry SDK.
`AzureFrontDoor.FirstParty`	Saída	Aceder às imagens Docker fornecidas pela Microsoft.
`MicrosoftContainerRegistry`	Saída	Aceder às imagens Docker fornecidas pela Microsoft. Configurar o router Foundry para o serviço Azure Kubernetes.
`AzureMonitor`	Saída	Envie registos e métricas para o Azure Monitor. Só é necessário se ainda não tiver garantido o Azure Monitor para o espaço de trabalho. Esta regra de saída também regista informações para incidentes de suporte.
`VirtualNetwork`	Saída	É necessário quando há endpoints privados presentes na rede virtual ou em redes virtuais emparelhadas.

Lista de regras de saída específicas para cenários

Cenário: Aceder a pacotes públicos de aprendizagem automática

Para instalar pacotes Python para treino e implementação, adicione regras FQDN de saída para permitir tráfego para os seguintes nomes de host:

Nota

Esta lista cobre os alojamentos comuns para recursos em Python na internet. Se precisares de acesso a um repositório GitHub ou outro alojamento, identifica e adiciona os hosts necessários para o teu cenário.

Nome do anfitrião	Finalidade
`anaconda.com` `*.anaconda.com`	Usado para instalar pacotes padrão.
`*.anaconda.org`	Usado para obter dados de repositórios.
`pypi.org`	Lista as dependências do índice padrão se as configurações do utilizador não as substituírem. Se sobrescrever o índice, permita também `*.pythonhosted.org`.
`pytorch.org` `*.pytorch.org`	Usado por alguns exemplos baseados no PyTorch.
`*.tensorflow.org`	Usado por alguns exemplos baseados em TensorFlow.

Cenário: Usar Visual Studio Code

O Visual Studio Code depende de hosts e portas específicas para estabelecer uma ligação remota.

Anfitriões

Use estes hosts para instalar pacotes do Visual Studio Code e estabelecer uma ligação remota às instâncias de computação do seu projeto.

Nota

Esta lista não inclui todos os hosts necessários para todos os recursos do Visual Studio Code na internet. Por exemplo, se precisar de acesso a um repositório GitHub ou outro host, deve identificar e adicionar os hosts necessários para esse cenário. Para uma lista completa de nomes de host, veja Ligações de Rede em Visual Studio Code.

Nome do anfitrião	Finalidade
`.vscode.dev` `.vscode-unpkg.net` `.vscode-cdn.net` `.vscodeexperiments.azureedge.net` `default.exp-tas.com`	É necessário aceder ao VS Code for the Web (vscode.dev).
`code.visualstudio.com`	É necessário para descarregar e instalar o ambiente de trabalho do VS Code. Este alojamento não é obrigatório para o VS Code Web.
`update.code.visualstudio.com` `*.vo.msecnd.net`	Descarrega componentes do VS Code Server para a instância de computação durante scripts de configuração.
`marketplace.visualstudio.com` `vscode.blob.core.windows.net` `*.gallerycdn.vsassets.io`	É necessário descarregar e instalar extensões VS Code. Estes hosts permitem a ligação remota a instâncias de computação. Para mais informações, consulte Começar com projetos Foundry em VS Code.
`vscode.download.prss.microsoft.com`	Serve como CDN para download do Visual Studio Code.

Portas

Permitir tráfego de rede para as portas 8704 para 8710. O VS Code Server seleciona a primeira porta disponível nesta gama.

** Cenário: Usar modelos Hugging Face

Para usar modelos Hugging Face com o hub, adicione regras FQDN de saída para permitir o tráfego para os seguintes hosts:

docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
huggingface.co
cas-bridge.xethub.hf.co
cdn-lfs.huggingface.co

Cenário: Modelos vendidos diretamente pelo Azure

Estes modelos instalam dependências em tempo de execução. Adicionar regras FQDN de saída para permitir tráfego para os seguintes hosts:

*.anaconda.org
*.anaconda.com
anaconda.com
pypi.org
*.pythonhosted.org
*.pytorch.org
pytorch.org

Endpoints privados

Os serviços do Azure suportam atualmente endpoints privados para os seguintes serviços:

Centro da fundição
Pesquisa de IA do Azure
Ferramentas de Fundição
API Management do Azure
- Suporta apenas a camada Classic sem injeção VNet e a camada Standard V2 com integração de rede virtual. Para mais informações sobre redes virtuais de Gestão de APIs, consulte Rede Virtual Conceitos.
Azure Container Registry
Azure Cosmos DB (todos os tipos de subrecursos)
Azure Data Factory
Azure Database for MariaDB
Base de Dados do Azure para MySQL
Base de Dados do Azure para PostgreSQL Single Server
Azure Database para PostgreSQL - Servidor Flexível
Azure Databricks
Hubs de Eventos do Azure
Azure Key Vault
Azure Machine Learning
Azure Machine Learning registries
Cache do Azure para Redis
Azure SQL Server
Armazenamento do Azure (todos os tipos de subrecursos)
Application Insights (através PrivateLinkScopes)

Quando crias um endpoint privado, especificas o tipo de recurso e o subrecurso a que o endpoint se liga. Alguns recursos têm vários tipos e subrecursos. Para mais informações, veja o que é um endpoint privado.

Quando cria um endpoint privado para recursos de dependência do hub, como Armazenamento do Azure, Azure Container Registry e Azure Key Vault, o recurso pode estar numa subscrição Azure diferente. No entanto, o recurso deve estar no mesmo tenant que o hub.

Se selecionar um dos recursos do Azure listados anteriormente como recurso alvo, o serviço cria automaticamente um endpoint privado para a ligação. Forneça um ID de alvo válido para o endpoint privado. Para uma ligação, o ID de destino pode ser o ID do Azure Resource Manager de um recurso pai. Inclua o ID do alvo no alvo da ligação ou em metadata.resourceid. Para mais informações sobre ligações, veja Como adicionar uma nova ligação no portal Foundry.

Aprovação de endpoints privados

Para estabelecer ligações privadas aos endpoints em redes virtuais geridas usando o Foundry, a identidade gerida pelo workspace (atribuída pelo sistema ou pelo utilizador) e a identidade do utilizador que cria o endpoint privado devem ter permissão para aprovar as ligações do endpoint privado nos recursos de destino. Anteriormente, o serviço Foundry concedia esta permissão através de atribuições automáticas de funções. Devido a preocupações de segurança com atribuições automáticas de funções, a partir de 30 de abril de 2025, o serviço descontinuou esta lógica de concessão automática de permissões. Atribua o papel de Azure AI Enterprise Network Connection Approver ou um papel personalizado com as permissões necessárias para conexões de ponto final privado nos tipos de recursos alvo, e conceda este papel à identidade gerida do hub Foundry para permitir que o Foundry aprove conexões de ponto final privado aos recursos Azure alvo.

Aqui está a lista dos tipos de recursos-alvo de endpoint privados cobertos pela função Azure AI Enterprise Network Connection Approver:

Gateway de Aplicação do Azure
Azure Monitor
Pesquisa de IA do Azure
Hubs de Eventos do Azure
Base de Dados SQL do Azure
Armazenamento do Azure
Azure Machine Learning workspace
Azure Machine Learning registry
Fundição
Azure Key Vault
Azure Cosmos DB
Base de Dados do Azure para MySQL
Base de Dados do Azure para PostgreSQL
Ferramentas de Fundição
Cache do Azure para Redis
Azure Container Registry
API Management do Azure

Para criar regras de saída para endpoints privados para tipos de recursos alvo não abrangidos pela função Azure AI Enterprise Network Connection Approver, como Azure Data Factory, Azure Databricks e Azure Function Apps, utilize uma função personalizada, definida apenas pelas ações necessárias para aprovar ligações de endpoints privados nos tipos de recursos alvo.

Para criar regras de saída para endpoints privados para recursos de workspace predefinidos, a criação de workspace concede as permissões necessárias através de atribuições de funções, por isso não precisa de tomar qualquer ação adicional.

Selecione uma versão do Firewall do Azure para permitir apenas tráfego de saída aprovado

Azure Firewall é implementado quando adicionas uma regra de FQDN de saída no modo permitir apenas saída aprovada. As cobranças do Azure Firewall são adicionadas à sua fatura. Por defeito, é criada uma versão Standard do Azure Firewall. Ou seleciona a versão Básica . Muda a versão do firewall a qualquer momento. Para saber qual a versão que se adequa às suas necessidades, vá a Escolha a versão Azure Firewall certa.

Importante

O Azure Firewall não é criado até que adiciones uma regra de FQDN de saída. Para detalhes sobre preços, consulte Azure Firewall preços e consulte os preços da versão Standard.

Use estes separadores para ver como selecionar a versão do firewall para a sua rede virtual gerida.

Depois de selecionar o modo allow only approved outbound, aparece a opção de selecionar a versão Azure Firewall (SKU). Selecione Padrão ou Básico. Selecione Guardar.

Para definir a versão do firewall usando CLI do Azure, use um ficheiro YAML e especifique firewall_sku. O exemplo seguinte define o SKU do firewall para basic:

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Para definir a versão do firewall usando o SDK Python, defina a propriedade firewall_sku do objeto ManagedNetwork. O exemplo seguinte define o SKU do firewall para basic:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')

Referências

Preços

A funcionalidade de rede virtual gerida por hub é gratuita, mas paga pelos seguintes recursos que a rede virtual gerida utiliza:

Azure Private Link - Endpoints privados que garantem a comunicação entre a rede virtual gerida e os recursos do Azure utilizam o Azure Private Link. Para preços, veja Azure Private Link preços.
Regras de saída FQDN - O Azure Firewall aplica estas regras. Se usar regras FQDN de saída, as cobranças do Azure Firewall aparecem na sua fatura. A versão Standard do Azure Firewall é usada por padrão. Para selecionar a versão Básica, consulte Selecionar uma versão Azure Firewall. Azure Firewall é provisionado por hub.

Importante

O Azure Firewall só é criado até adicionares uma regra de FQDN de saída. Se não usares as regras FQDN, não te cobram pelo Azure Firewall. Para preços, consulte preços do Azure Firewall.

Limitações

O Foundry suporta isolamento virtual gerido de rede para recursos de computação. A Foundry não suporta trazer a tua própria rede virtual para isolamento de computação. Este cenário difere da Rede Virtual do Azure necessária para aceder ao Foundry a partir de uma rede local.
Depois de ativares o isolamento de rede virtual gerida, não podes desativá-lo.
A rede virtual gerida utiliza um endpoint privado para se ligar a recursos privados. Não podes usar um endpoint privado e um endpoint de serviço no mesmo recurso Azure, como uma conta de armazenamento. Use endpoints privados para todos os cenários.
Quando apagas o Foundry, o serviço elimina a rede virtual gerida.
Com permitir apenas a saída aprovada, a Foundry ativa automaticamente a proteção contra exfiltração de dados. Se adicionares outras regras de saída, como FQDNs, a Microsoft não pode garantir proteção contra a exfiltração de dados para esses destinos.
As regras de saída FQDN aumentam o custo de rede virtual gerida porque usam o Azure Firewall. Para mais informações, consulte Preços.
As regras de saída do FQDN suportam apenas as portas 80 e 443.
Para desativar o endereço IP público de uma instância de computação, adicione um endpoint privado a um hub.
Para uma instância de computação numa rede gerida, execute az ml compute connect-ssh para se ligar via SSH.
Se a sua rede gerida estiver configurada para permitir apenas saída aprovada, não pode usar uma regra FQDN para aceder a Armazenamento do Azure contas. Use antes um endpoint privado.

Comentários

Esta página foi útil?

Last updated on 2026-05-01

Como configurar uma rede gerida para hubs Microsoft Foundry (clássico)

Pré-requisitos

Configurar uma rede virtual gerida para permitir saídas para a internet

Configure uma rede virtual gerida para permitir apenas saída aprovada

Provisionar manualmente um VNet gerido

Gerir regras de saída

Arquitetura de isolamento de rede e modos de isolamento

Lista de regras obrigatórias

Lista de regras de saída específicas para cenários

Cenário: Aceder a pacotes públicos de aprendizagem automática

Cenário: Usar Visual Studio Code

Anfitriões

Portas

** Cenário: Usar modelos Hugging Face

Cenário: Modelos vendidos diretamente pelo Azure

Endpoints privados

Aprovação de endpoints privados

Selecione uma versão do Firewall do Azure para permitir apenas tráfego de saída aprovado

Preços

Limitações

Conteúdo relacionado

Comentários

Recursos adicionais